Avertir le modérateur

20/11/2016

Pour : un mot de passe simplifié

On nous le répète pourtant jamais assez, quel que soit le site internet sur lequel nous avons un compte il faut un mot de passe complexe. Au risque de paraître à contre-courant je considère que c'est là une précaution inutile* et que "123456" nous protège tout autant - ou aussi peu - que par exemple "azr**ei59hJiF".
Pourquoi j'affirme cela ? Tout simplement parce que la technique "brutale" consistant à essayer un mot de passe jusqu'à ce que ça marche est une technique qui n'existe pas. Les pirates ont autre chose à faire que de tester au clavier "12345" , "password" ou autre "admin_user".
Dans les faits les hackers - dont je ne nie pas l'existence, bien au contraire - volent la base de données contenant votre login et votre mot de passe et cherchent ensuite à "casser" la base dans son ensemble, autrement dit à la décrypter, la décoder. Et à ce stade peu importe que votre mot de passe soit complexe ou pas car l'algorithme qui va le "deviner" n'est pas construit selon un système de force brute, essayer tous les codes possibles et imaginables jusqu'à tomber sur le bon.
Prenons maintenant un raisonnement inverse et imaginons que vous allez pour la première fois sur un site internet et qu'à l'inscription vous entrez votre e-mail en guise de compte utilisateur et "12345" comme mot de passe. Quels sont les risques ?
Primo, vous avez sans le savoir un "key-logger" dans votre ordinateur, un logiciel espion qui va scruter vos frappes clavier. En ce cas peu importe la complexité du mot de passe que vous venez d'entrer puisque c'est la saisie même qui est en cause.
Deuxio, un pirate essaie de se connecter à votre place sur le site en question. Il faut pour cela déjà supposer qu'il a auparavant "volé" votre adresse e-mail ou pourquoi pas l'essayer au hasard (jean.dupont@gmail.com va sûrement se reconnaître ... ).
Mais même ainsi notre pirate n'a pas d'indices, pas plus sur votre mot de passe que sur les sites sur lesquels vous êtes inscrits. On peut ici argumenter que l'utilisation du lien "mot de passe oublié" est un maillon faible dans la protection. Mais si un pirate utilise cette solution, il devra pour réussir avoir déjà piraté l'accès à vos messages e-mail. Sans compter que de toute façon le site concerné renvoit sur une page de ré-initialisation du mot de passe, ce qui implique que le pirate entre son propre mot de passe avec votre compte et que par conséquent il ne connaîtra toujours pas le mot de passe que vous aviez utilisé....
C'est pour toutes ces raisons que je considère qu'un mot de passe compliqué à deviner n'apporte aucune protection supplémentaire par rapport à un mot de passe simple à deviner.

* Oui, j'adore Beaumarchais.

07/05/2011

Je n'y crois pas : le développement de la fraude à la carte bancaire sur Internet

Au risque de passer pour un provocateur en mal de reconnaissance(1), je ne crois pas au développement de la fraude à la carte bancaire sur Internet tel qu'on peut le lire ici. L'article est pourtant alarmiste : "les fraudes bancaires [atteignent] des niveaux préoccupants" déclare Jean-Marc Bornet, administrateur du Groupement CB (GIE) ; nous nous devons de le croire.
Mais la suite de l'article - pour aussi paradoxal que cela puisse paraître - casse cette assertion. On nous explique en effet que "dans certains cas, le pirate détourne les coordonnées du porteur de carte sur un site marchand". Quels sont ces cas, quels sites marchands, quels modes opératoires, on ne le sait pas. Tout juste apprend t-on que ce n'est pas à "grande échelle". De là à dire que ce sont des actes très isolés c'est un pas que je franchis.
Ce qui nous est expliqué c'est que la fraude est en réalité une fraude en amont d'internet, avant tout acte d'achat. Le pirate entre en possession physique d'une carte qui ne lui appartient pas. Autrement dit pas de scrutation des frappes clavier, pas de mot passe craqué, pas de virus non plus... Non plus prosaïquement un bon vieux vol à l'ancienne, voire l'utilisation de la carte du conjoint / beau-frère / oncle ou autre sans en avoir reçu l'autorisation expresse.
Pour ma part j'estime qu'Internet fait la preuve de sa sécurité, puisque lorsqu'on est bel et bien le possesseur de la carte bancaire, faire ses achats sur Internet ne présente aucun risque. C'est à l'extérieur du web qu'il faut être prudent. Il est dommage de constater que l'article en question ne le rappelle pas...

(1) Pour reprendre un mot que je déteste je ne cherche pas à faire de "buzz" quoi qu'on en dise.

15/02/2009

L'accès à tout l'Internet bientôt impossible

Le sujet est passé presque inaperçu, mais dans l'avalanche des annonces faites vendredi 13 février par Nicolas Sarkozy(1) figure la censure d'Internet. Car comment appeler autrement le procédé qui consiste pour le législateur de décider quels seront les sites "autorisés" et ceux qui seront "interdits" ?
Pour expliquer sa décision, le Président de la République s'appuie sur un argument imparable, la lutte contre la pédopornographie. Qui pourrait en effet raisonnablement s'y opposer ? Pas moi en tout cas, et pourtant je suis contre l'idée de bloquer ces sites. Position bien dangereuse vous en conviendrez, mais suivez néanmoins mon raisonnement : Une fois cette loi en place, et peu importe la méthode technique qui sera utilisée, l'utilisateur lambda d'internet aura accès à l'immense majorité des sites web mais non à une infime minorité, jugée illégale d'après la Loi. Mais comment imaginer qu'on en restera là ? Quid des sites qui font l'apologie du négationnisme ou de l'homophobie, pour ne reprendre que deux opinions interdites par la loi ? On ne va tout de même pas créer une "échelle de l'horreur" pour décider des sites à interdire ou pas. Voyez également l'anorexie ou l'incitation au suicide, sans parler des sectes...Je frémis non pas aux sites que l'on veut fermer aujourd'hui, mais aux sites que l'on voudra fermer demain et après-demain. L'Enfer est pavé de bonnes intentions suis-je tenté d'écrire, même si les obstacles ne manqueront pas.
Voyez aussi l'anecdote suivante, que je vous certifie authentique : une entreprise du secteur privé décide de filtrer les accès internet de ses salariés. Pour ce faire elle prend un abonnement auprès d'un fournisseur qui recense dans une base de données les sites interdits. A l'installation le filtre est monté tel quel, c'est-à-dire que l'entreprise n'a ajouté ou retranché aucun autre site que ceux listés d'origine par le fournisseur. Les sites internet des quatre principales centrales syndicales (CGT, CGT-FO, CFDT, CFTC) sont filtrés - autrement dit interdits - alors que dans le même temps les sites internet de la CFE-CGC et du MEDEF sont autorisés(2). Où s'arrêtera la future loi ? Qui décidera des sites à filtrer ou pas ? Faudra t-il par exemple interdire les sites "créationnistes" ? Et quel comportement adopter face aux sites internet qui militent pour légaliser ce qui est aujourd'hui interdit par la loi(3) ? Je l'ai déjà écrit et je le répète sans état d'âme, la liberté sur Internet est un bien précieux qu'il faut cultiver en dépit de ses mauvaises graines.


(1) Outre le blocage des sites internet faisant l'apologie de la pédopornographie, Nicolas Sarkozy a annoncé dans la même journée la création de 200.000 places d'accueil pour jeunes enfants, la mise en place d'un "statut" pour le beau-parent, un projet de loi concernant l'adoption ainsi que la prochaine tenue d'un conseil inter-ministériel dédié à l'Outre-mer.
(2) L'entreprise a tout de suite admis qu'il y avait un "problème", et a retiré du filtre les sites syndicaux en question.
(3) Exemple de l'adoption par des couples homosexuels, de la procréation par mère porteuse ou du droit à l'euthanasie.

05/01/2009

Internet : La censure au secours de la démocratie ?

L'Australie, qui a pourtant bien les pieds sur Terre en dépit de sa position sur le globe, serait-elle tombée sur la tête ? Car il est question dans ce pays de filtrer Internet, rien que cela. On le sait, certains pays le font déjà, dont la Chine et la Corée du Nord, et parfois avec la complaisance pour ne pas dire la complicité de grandes sociétés (Google, Microsoft). Mais on sait également à quoi s'en tenir dans ces pays à propos de la liberté d'expression, de la liberté de la presse ou bien encore de la libre pensée politique...
Pour en revenir à l'Australie donc, il est fortement question de filtrer Internet au travers d'une base de données qui serait scrutée à chaque demande d'accès à un site web. Si le site que vous souhaitez voir n'est pas dans la liste, c'est bon vous pourrez le consulter. Mais s'il est "black-listé", alors vous ne pourrez pas. L'argument lié à la mise en place de ce dispositif est aussi imparable qu'incontestable : Il faut défendre la protection de l'enfance et lutter contre la pornographie, la cyber-criminalité, le terrorisme...
Derrière cela se cache quelque chose de bien pire : le contrôle d'Internet. Jusqu'à présent Internet est (était?) "libre" : en France et dans la plupart des pays du Monde, l'accès aux sites n'est soumis à aucun filtre. C'est la loi et elle seule qui peut déterminer si un site doit être fermé ou pas, et parfois pour des raisons moins grandioses. Pour ajouter à l'excellent texte que j'ai trouvé ici, je rappelle au lecteur qu'en France la loi initiale créant le fichage ADN des individus était réservé aux seuls délinquants sexuels multi-récidivistes. Cela a bien changé depuis (et très vite !), puisque ces derniers temps un jeune homme a du aller devant les juges pour faire admettre qu'on ne pouvait pas lui prélever son ADN au seul motif qu'il était voisin. Il a eu gain de cause, mais s'il n'avait pas lutté juridiquement son ADN serait dans le fichier (en tant que ... voisin je le rappelle). Un ballon d'essai concernant le filtrage d'Internet en France a été lancé – avec discrétion peut-être – mais il faut bien commencer un jour à sonder les foules et l'opinion...
La Liberté est un bien précieux qu'il faut cultiver en dépit de ses mauvaises graines. Notre monde n'est pas parfait et Internet ne le sera pas plus, même filtré. La lutte contre ces fléaux que sont la pédo-pornographie, la drogue ou le terrorisme passe par la loi(1) et l'éducation des masses, pas par une base de données des sites internet à ne pas visiter.

(1) Je sais qu'il y a des pervers partout, et peut-être s'en trouvera t-il un pour me dire que ce sera la Loi qui instituera la création d'une base de données filtrant les sites internet interdits...

19/10/2008

Nouvelle catastrophe financière : un compte a été piraté !

Le Journal du Dimanche de ce Dimanche révèle le piratage du compte personnel de Nicolas Sarkozy. Dont acte. Mais de là à en déduire que c'est une pratique courante et que les coordonnées bancaires font l'objet d'un trafic juteux sur Internet c'est bien exagérer le phénomène(1). Le journaliste enumère d'ailleurs les multiples possibilités de "dérober" les coordonnées bancaires d'un particulier. Je cite : "lors d'un achat en ligne ou au moment de la consultation d'un compte sur le Net, lors du paiement avec une carte de crédit chez un commerçant malhonnête, ou encore à l'occasion d'un vol ou d'une perte de documents " .
Reprenons les un par un voulez-vous ? Lors d'un achat en ligne il n'y a aucun, je répète aucun risque de se faire pirater. Soit le "vol" des coordonnées bancaires a eu lieu avant, et c'est l'achat dans son ensemble qui est frauduleux ; soit il n'y a pas encore eu "vol", et ce ne sera pas à ce moment là que le vol aura lieu, non. Vraiment, vous imaginez un pirate attendant tel un pêcheur à la ligne le moment précis où vous allez enfin taper ces fameux numéros ? (2).
La consultation d'un compte sur le Net ? Méconnaissance ou malhonnêteté encore une fois. Pour le faire régulièrement j'ai bien eu le temps de constater que jamais – oh grand jamais – je n'ai eu à taper mon numéro de carte bancaire. De plus je rappelle ici que le "code" pour consulter son compte n'est pas celui pour effectuer des retraits.  Je ne vais pas parler ici des autres "cas" (paiement avec une carte de crédit chez un commerçant malhonnête, vol ou perte de documents), car cela n'a rien à voir avec Internet. 
Alors, ignorance ou paranoïa dans cet article ? Les deux mon capitaine, et à haute dose encore !

(1) Je ne suis pas en train de nier l'existence d'un tel trafic. Je dis simplement que sa valeur "réelle" est infinitésimale par rapport à ce que le journaliste laisse entendre : "trafic juteux", sous entendu des millions de dollars, voire plus encore. Non, quelques milliers tout au plus d'après moi...
(2) Les spécialistes vont me parler de ces logiciels qui scrutent les frappes du clavier, mais si en "théorie" cela marche, en pratique cela ne marche pas. La preuve ? Qu'un seul de ces programmes fasse la preuve de son "efficacité", et en moins d'une journée toute la planète est au courant ! Une autre preuve ? à supposer que cela a tout de même existé et marché, on ne sait rien ni du programme, ni de l'escroc, ni des victimes !

 
Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu